SIEM とは、セキュリティ情報とイベント管理(Security Information and Event Management)の略です。実際には、SIEM ソフトウェア・ソリューションは、セキュリティ情報管理(SIM)とセキュリティ・イベント管理(SEM)の利点を、アプリケーションやハードウェアによって生成されたセキュリティ・アラートのリアルタイム分析を可能にする包括的なセキュリティ・ソリューションに統合しています。
SIEM の仕組み
SIEM は、アプリケーション、セキュリティ・システム、ハードウェア全体で組織によって生成されたログやイベント・データから情報を収集します。SIEM システムは、ルールや分析エンジンとイベントを照合することで、セキュリティ脅威をリアルタイムで検出・分析できます。さらに、セキュリティ・チームが分析、ログ管理、レポートを行う際に役立つ検索のためのインデックスも作成されています。
SIEM ソリューションが検知できる脅威の例
不正アクセス
ログイン試行に数回失敗するのは、理解できることです。その番号を 100 までダイヤルすると、おそらく誰かがブルート・フォース攻撃(総当たり攻撃)を実行しています。SIEM ソフトウェアは、ユーザーの動作を監視し、異常なアクセス試行を特定できます。
インサイダー脅威
SIEM システムは、従業員の行動を常に監視することで、インサイダーの脅威を偶然と悪意の両方で検知できます。SIEM ソフトウェアは、アクセス権を無効にしていない元従業員から、機密情報の窃盗や漏えいを試みる悪意のある内部関係者、偶発的なセキュリティ変更まで、異常な動作を検出し、分析のためにセキュリティ・アナリストにエスカレーションすることができます。
フィッシング
フィッシング攻撃は、信頼できる権威者になりすますことで、個人情報や機密情報を自発的に流出させることを目的としています。フィッシングの最も一般的な形態は、ベンダー、マネージャー、人員を装った攻撃者からの悪意のあるリンクや添付ファイルを含む電子メールです。セキュリティ・トレーニングの他に、SIEM ソリューションは、疑わしい場所からの従業員のログインなど、従業員のアカウントが侵害された兆候である異常な時に検知できます。その後、そのユーザー・プロファイルをロックアウトして、従業員がアクセスを確認するまで、損害を防ぐことができます。
DoS 攻撃と DDoS 攻撃
サービス拒否(DoS)攻撃は、ネットワークに大量のトラフィックを送り込み、システム・リソースを使い果たしてクラッシュを引き起こすことによってサービスを妨害します。このような脅威の頻度が増加しているのは、ボットネットが無自覚なユーザーのネットワーク・デバイスを容易に取り込み、分散型サービス拒否(DDoS)攻撃を実行するための群れとして利用できるためです。Web サーバーのログを監視することで、SIEM ソフトウェアは、DoS や DDoS 攻撃を示す可能性のある異常なトラフィック・イベントにフラグを立てることができます。このような攻撃を早期に検知することで、セキュリティ・チームが防御策を導入し、サービスの復旧を計画する時間を確保できます。
コード・インジェクション
コード・インジェクションとは、オンライン・フォームなどのクライアント側の入力チャネルに悪意のあるコードを注入し、アプリケーションのデータベースやシステムにアクセスすることです。最も一般的な例として、SQL インジェクションがあります。SQL コマンドサニタイズされていない入力に挿入され、攻撃者はデータベースから直接データを変更したり削除したりすることができます。Web アプリケーションからのアクティビティを監視することで、異常なイベントにフラグを立て、イベント相関を使用して、システムに変更が発生したかどうかを確認できます。
ランサムウェアやその他のマルウェア
ランサムウェア、ウイルス、ワーム、トロイの木馬、その他のマルウェアは、コンピュータ・システムに侵入し、悪意のあるプログラムを実行するために設計されたソフトウェアです。このような攻撃に対する最善の防御策は予防であり、SIEM システムは、セキュリティ・ログの把握、攻撃ベクトルの特定、攻撃につながる可能性のある異常な動作の検知に必要な監視機能を提供します。SIEM は、侵害を受けたマルウェア攻撃の被害範囲の特定を支援し、問題解決に必要な情報をセキュリティ・チームに提供します。
MITM 攻撃
MITM(Man-In-The-Middle)攻撃とは、悪意のある第三者が 2 つのホスト間の通信を盗聴し、情報を盗んだり操作したりすることです。通信が傍受されると、攻撃者は、パスワード入力を嗅ぎ取ることでユーザー・セッションをハイジャックし、悪意のあるパケットをデータ通信ストリームに注入するなど、さまざまな手法を活用できます。見知らぬ場所への頻繁な接続や切断は、MITM 攻撃を指摘する可能性があるため、SIEM は、手遅れになる前に盗聴者を捕まえるための貴重なツールとなります。
SIEM の活用事例
SIEM システムは、あらゆるエンタープライズ・セキュリティ・インフラのコア・コンポーネントとして機能します。SIEM の使用例をいくつか見てみましょう。
データ規格の遵守
SIEM システムは、イベント・ログ、セキュリティ・ツール、デバイスなどのデータを企業全体で集約します。コンプライアンスや規制に関するレポートの作成をサポートする最適なツールです。
以下に例を挙げます。
- GDPR:一般データ保護規則(GDPR)は、EU 市民の個人データを保護するために欧州連合(EU)によって制定されました。
- HIPAA:医療保険の携行性と責任に関する法律(HIPAA)は、患者の機密医療情報を保護するために米国議会によって制定されました。
- PCI:PCI データ・セキュリティ基準(PCI DSS:Payment Card Industry Data Security Standard)は、大手クレジットカード会社が顧客を保護するために義務付ける情報セキュリティ基準です。
- SOX 準拠:サーベンス・オクスリー法(SOX)は、企業の不正会計を対象とする米国の規制です。公開企業の取締役会、管理会社、会計事務所に適用され、機密情報の保管場所、アクセス権限のある人、使用方法を正確に報告する必要があります。
SIEM は、企業全体でログ情報とセキュリティ・データへの構造化されたアクセスを提供するため、規制機関や個々のデータ所有者向けに詳細なレポートを作成することができます。
高度なセキュリティ脅威の検出
前のセクションで詳しく説明したように、SIEM システムは高度なセキュリティ脅威を検知するために作られました。SIEM システムがアクティブな脅威ハンティングをどのようにサポートしているかについて、一般的な例をいくつか見てみましょう。
- 異常の特定:行動分析とイベント相関は、セキュリティ・チームによる詳細な検査のために異常のフラグを立てることができます。
- データ抽出:データがどのように使用されているかを俯瞰することで、内部脅威や、機密情報を組織の外部に無断で転送しようとする不正な試みを察知することができます。
- 新たな脆弱性への対応:新しいゼロデイ・エクスプロイトやシステムの脆弱性が特定された場合、SIEM ソリューションは、脆弱性の範囲を迅速に特定し、それをクローズするのに役立ちます。
- 過去のインシデントから学ぶ:インシデントが発生した場合は、以前に発生したかどうかをすばやく確認できます。問題への対応経験があれば、将来の発生を防止したり、インシデントの繰り返しに迅速に対処することができます。
- 脅威インテリジェンス:AI をセキュリティ・データやログに適用することで、IT システムの攻撃をインテリジェントに検出します。パターンは、既知の攻撃シグネチャを履歴データに一致させます。
- 調査のガイド:SIEM プラットフォームによるデータ探索により、アナリストが仮説をテストできるようにします。
IoT 展開の保護
モノのインターネット(IoT)は、分散ネットワーク・デバイスのフリートとして存在し、それぞれがイベント・ログをリアルタイムでストリーミングします。SIEM システムは、IoT 展開の保護に最適です。
- IoT デバイスの監視:IoT デバイスは、DDoS 攻撃を行うボットネットへのハイジャックの主なターゲットです。SIEM システムからの継続的な監視は、デバイスの侵害を示す異常な動作につながる可能性があります。
- データフローの監視:IoT デバイスは、暗号化されていないプロトコルを介して相互に通信することがよくあります。SIEM ソリューションは、IoT ネットワーク内のノード間の異常なトラフィック・パターンを検出し、機密情報が侵害されたときにセキュリティ・チームに警告します。
- アクセス制御:IoT デバイスにアクセスする人や、疑わしい活動や接続にいつ遭遇するかを監視します。
- 脆弱性管理:SIEM ソリューションは、従来のオペレーティング・システムと、フリートの IoT デバイスのパッチが適用されていない脆弱性の検出に役立ちます。また、機密データや重要な機能へのアクセス・ポイントを持つデバイスなど、攻撃を受ける可能性が最も高いデバイスを分離するのに役立ちます。
SIEM と IDS の違い
SIEM システムと侵入検知システム(IDS)の主な違いは、SIEM は予防的なものであり、IDS は脅威イベントの発生時に検知して報告するために最適化されていることです。どちらのツールもアラートを生成し、ログを生成しますが、SIEM システムのみが、さまざまなデバイスやシステム間でログ情報を集中管理して関連付け、エンタープライズ・セキュリティの全体像を把握できます。
SIEM と IDS の両方を一緒に使用することが多いです。IDS は攻撃時に役立ちます。SIEM ソリューションは、これらの IDS ログを他のシステム情報とともに利用できるようにするので、セキュリティ・チームはコンプライアンス・レポートを生成し、将来の攻撃を防止できます。
SIEM と SOAR の違い
セキュリティ・オーケストレーション、自動化、応答(SOAR)は、比較的新しいブロックです。SIEM の機能を拡張し、調査パスのワークフローを自動化することもできます。これにより、アラートの処理に必要な時間が短縮されます。
SIEM は、ファイアウォール、アプリケーション、サーバー、デバイスなど、複数のソースからの情報を関連付けることで脅威を特定します。SIEM ソリューションは、セキュリティ・チームに最も関連性の高い情報を提供し、修復の提案をしますが、潜在的な脅威の原因を追跡して修復するのはセキュリティ・チーム次第です。
SOAR プラットフォームは、調査パスを自動化するための追加ステップを踏むことで、これら全てを実行します。AI を使用してパターン行動を学習し、オーケストレーションを通じて脅威に自動的に対処することで、セキュリティ・チームに潜在的な脅威を警告するだけではありません。
一般的な SIEM サイバーセキュリティ・ベンダー
市場に出回っている一般的な SIEM ツールには、次のようなものがあります。
まとめ
SIEM とは、セキュリティ情報とイベント管理(Security Information and Event Management)の略です。SIEM ツールは、コード・インジェクション、ランサムウェア攻撃、DDoS 攻撃など、さまざまな脅威を検出し、防御するために使用できます。不正アクセス、不審なログイン試行、異常なデータフローなどの異常を検出するために特に役立ちます。複数のソースからログを一元管理し、セキュリティ分析を可能にするセキュリティ・プラットフォームが必要な場合は、SIEM ソリューションが役立ちます。
